Il Documento programmatico di Sicurezza (DPS) è un espresso obbligo del titolare del trattamento, previsto dall’art. 34 e dall’allegato B del decreto legislativo n.196/03.
Esso consta di 7 paragrafi che devono riguardare rispettivamente:

1. elenco dei trattamenti dei dati personali:
   In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterna, con l’indicazione della natura dei dati e della struttura (ufficio, funzione etc.) interna o esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
   Nella redazione della lista si può anche tenere conto delle indicazioni fornite dal garante nelle eventuali precedenti notificazioni.
2. distribuzione dei compiti e delle responsabilità:
   In questa sezione bisogna descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati.
   Si possono utilizzare, anche attraverso specifici riferimenti, documenti già predisposti, (provvedimenti, ordini di servizio, circolari, regolamenti), indicando le precise modalità per reperirli.
3. analisi dei rischio che incombono sui dati:
   In questa sezione occorre descrivere gli eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità, in relazione allo specifico contesto di riferimento e agli strumenti elettronici utilizzati.
4. misure in essere e da adottare per prevenire i rischi:
   In questa sezione vanno riportate in misura sintetica le misure in essere o da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare ridurre gli effetti relativi ad una specifica minaccia, come pure quelle attività di verifica e controllo nel tempo per assicurarne l’efficacia.
5. criteri e modalità di ripristino della disponibilità dei dati:
   In questa sezione sono descritte le procedure e i criteri essenziali per il ripristino dei dati, nel caso di loro danneggiamento o inaffidabilità della base dati. L’importanza di queste attività deriva dall’eccezionalità delle situazioni in cui il ripristino ha luogo.E’ essenziale che quando sono necessarie le copie dei dati siano disponibili, e che le procedure di reinstallazione siano efficaci. Pertanto è opportuno descrivere, sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
6. pianificazione degli interventi formativi previsti:In questa sezione vanno indicati i piani degli interventi formativi che si intendono svolgere
7. trattamenti affidati all’esterno:
   In questa sezione deve essere descritto il quadro sintetico delle attività che si intendono affidare a terzi che comportano il trattamento dei dati con l’indicazione sintetica del quadro giuridico e contrattuale (nonché organizzativo o tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.

Per ciascun paragrafo è opportuno inserire delle tabelle che illustrano in modo sintetico i contenuti di ciascuna sezione.